Кібератака на Україну: розвідка Microsoft виявила замасковані віруси, які могли пошкодити урядові сервери
Центр розвідки загроз Microsoft (MSTIC) виявив замасковане шкідливе програмне забезпечення, яке використовувалося при хакерській атаці на урядові мережі України і втрутилося в роботу жорстких дисків заражених пристроїв
У компанії розповіли, що вперше виявили це шкідливе програмне забезпечення 13 січня 2022 року. Воно замасковане під програму-вимагач, проте призначене не для отримання вигоди, а для виведення з ладу пристроїв, на які націлене.
Шкідливе ПЗ вже виявлено у десятках постраждалих систем, проте їх кількість може збільшитися під час продовження розслідування.
У переліку заражених – системи державних органів, некомерційних організацій та інформаційно-технологічних компаній в Україні.
У Microsoft додали, що поки не знайшли значної схожості хакерів, які атакували Україну, з іншими групами кіберзлочинців, яких відстежує компанія.
Microsoft передала свої висновки постраждалим організаціям а також урядовим установам у США та у інших країнах.
Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe, воно перезаписує основний завантажувальний запис (Master Boot Record, MBR — частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп.
"Враховуючи масштаби вторгнення, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційної організації чи підприємства, що знаходиться або має системи в Україні.
Перезапис MBR є нетиповою для кіберзлочинних програм-вимагачів. Насправді повідомлення про програму-вимагач є хитрістю, і зловмисне програмне забезпечення знищує MBR і вміст файлів, на які націлене", — йдеться в повідомленні.
Як писала "ДС", у ніч проти п'ятниці, 14 січня, сайт Міністерства освіти і науки України зламали невідомі. Також хакерської атаки зламали сайти Кабінету міністрів, Мінагрополітики, Міністерства закордонних справ, порталу "Дія" та низки інших відомств.
Зловмисники розмістили погрози та провокаційні заяви трьома мовами – українською, російською та польською, у якому погрожують українцям помстою за "Волинь, ОУН-УПА, Галичину та історичні території". Крім того, у повідомленні зазначили, що хакери вкрали особисті дані українських громадян.
У СБУ заявили, що витоку персональних даних не було, контент сайтів не змінювався. Крім того, низка ЗМІ знайшла кілька помилок у "польському посланні" злодіїв, які не є властивими для справжніх носіїв мови.
Секретар РНБО Олексій Данілов вважає, що за кібератаками на сайти українських держорганів стоїть Росія. Подібну оцінку висловили і в СБУ, і експерти з Центру стратегічних комунікацій та інформаційної безпеки.
Згодом, 15 січня, в РНБО повідомили, що за масштабною кібератакою на урядові сайти України стоїть хакерська група UNC1151, пов'язана з білоруською розвідкою.